Informe Google Zero-Day 2025: 90 vulnerabilidades explotadas, aumenta el ataque a empresas
El análisis anual de zero-days del Google Threat Intelligence Group revela 90 vulnerabilidades explotadas en estado salvaje durante 2025 — casi la mitad dirigidas a productos de seguridad empresarial, dispositivos de red e infraestructura cloud. Los proveedores de spyware y los APT vinculados a China dominan la atribución. Mientras tanto, una brecha de datos sanitarios que afecta a 3,4 millones de pacientes y nuevas campañas de malware sin archivos demuestran por qué el escaneo continuo de vulnerabilidades ya no es opcional.
📊 Panorama de Zero-Days 2025 según Google: cifras clave
💡 Seguimiento anual de Zero-Days por GTIG
El Google Threat Intelligence Group (GTIG) rastrea cada año las vulnerabilidades zero-day explotadas en estado salvaje. El informe de 2025 marca uno de los años más altos registrados, con 90 zero-days confirmados explotados — frente a 73 en 2024 y acercándose al pico de 97 de 2021.
El giro hacia las empresas
El hallazgo más significativo: aproximadamente 45 de los 90 zero-days (50 %) se dirigieron directamente a productos empresariales en lugar de endpoints de consumo. Esto representa un cambio dramático respecto a años anteriores, cuando los navegadores y los sistemas operativos móviles dominaban el panorama de explotación de zero-days.
| Categoría | Zero-Days (2025) | Porcentaje | Tendencia vs 2024 |
|---|---|---|---|
| Productos de seguridad empresarial | ~20 | 22 % | 🔺 Aumento significativo |
| Dispositivos de red/VPN | ~15 | 17 % | 🔺 En aumento |
| Plataformas Cloud/SaaS | ~10 | 11 % | 🔺 En aumento |
| SO móviles (iOS/Android) | ~18 | 20 % | 🔻 En descenso |
| Navegadores | ~12 | 13 % | 🔻 En descenso |
| SO de escritorio | ~15 | 17 % | ➡️ Estable |
Atribución: ¿Quién explota los Zero-Days?
Menos de la mitad de los 90 zero-days pudieron atribuirse a actores de amenazas específicos, pero los grupos principales dibujan un panorama claro:
⚠️ Principales explotadores de Zero-Days en 2025
1. Proveedores comerciales de spyware — NSO Group, Intellexa y nuevos participantes continúan dominando la explotación de zero-days, representando aproximadamente el 30 % de los zero-days atribuidos.
2. Grupos APT vinculados a China — Múltiples grupos chinos respaldados por el estado (Salt Typhoon, Volt Typhoon, APT41) explotaron zero-days enfocados en empresas, dirigiéndose a equipos de red y plataformas cloud.
3. Grupos vinculados a Rusia — Enfocados principalmente en objetivos ucranianos y europeos utilizando zero-days en productos Microsoft.
4. Corea del Norte — Cada vez más sofisticada, atacando plataformas de criptomonedas y herramientas de desarrollo.
Por qué los productos empresariales son ahora el objetivo principal
Varios factores explican el giro hacia el ataque a empresas:
- Mayor ROI por exploit — Una sola vulnerabilidad en un dispositivo VPN proporciona acceso a redes corporativas completas
- Visibilidad EDR limitada — Muchos dispositivos empresariales carecen de agentes de detección y respuesta en endpoints
- Ciclos de parcheo lentos — Los productos empresariales a menudo tardan semanas o meses en desplegar parches
- Supuestos de confianza — Los propios productos de seguridad gozan de confianza implícita, lo que hace su explotación devastadora
- Apalancamiento en la cadena de suministro — Comprometer a un solo proveedor empresarial puede dar acceso a miles de clientes posteriores
🏥 Brecha de datos de TriZetto: 3,4 millones de pacientes expuestos
⚠️ Exposición masiva de datos sanitarios
TriZetto Provider Solutions (filial de Cognizant) ha revelado una brecha de datos que afecta a 3.433.965 individuos. Los atacantes tuvieron acceso no autorizado durante casi un año — desde noviembre de 2024 hasta octubre de 2025.
Cronología de la brecha
| Fecha | Evento |
|---|---|
| 19 de noviembre de 2024 | Comienza el acceso no autorizado |
| 2 de octubre de 2025 | Se detecta actividad sospechosa |
| 9 de diciembre de 2025 | Se notifica a los proveedores afectados |
| Febrero de 2026 | Comienzan las notificaciones a los clientes |
| 6 de marzo de 2026 | La declaración ante el fiscal general de Maine confirma 3,4 M de afectados |
Tipos de datos expuestos
- Identificadores personales — Nombres completos, direcciones, fechas de nacimiento, números de seguridad social
- Historiales médicos — IDs de beneficiarios de Medicare, números de miembros de seguros, nombres de proveedores
- Datos de seguros — Nombres de aseguradoras de salud, registros de verificación de elegibilidad
- Datos demográficos — Información demográfica y de salud adicional
El tiempo de permanencia de 317 días (desde el acceso inicial hasta la detección) es particularmente alarmante y subraya la necesidad de monitorización continua y detección automatizada de amenazas. Cognizant ya había sido objeto de escrutinio tras el incidente del ransomware Maze en 2020 y una brecha relacionada con Scattered Spider a través de su mesa de ayuda.
🦠 VOID#GEIST: campaña de malware sin archivos multietapa
⚠️ Cadena de ataque sin archivos avanzada
Los investigadores de Securonix han documentado VOID#GEIST, una sofisticada campaña de malware multietapa que distribuye XWorm, AsyncRAT y Xeno RAT mediante técnicas de ejecución sin archivos.
Desglose de la cadena de ataque
- Acceso inicial — Script batch descargado de un dominio TryCloudflare mediante correo electrónico de phishing
- Señuelo visual — Chrome abre un PDF financiero falso a pantalla completa como distracción visual
- Ejecución oculta — PowerShell reejecutar el script batch con
-WindowStyle Hidden - Persistencia — Colocación en el directorio de inicio (sin modificaciones del registro, sin escalada de privilegios)
- Descarga del payload — Se descargan archivos ZIP que contienen shellcode cifrado y un cargador Python
- Ejecución en memoria — El runtime de Python descifra e inyecta shellcode mediante inyección Early Bird APC en
explorer.exe
💡 Por qué esto es importante
La campaña VOID#GEIST representa un cambio más amplio en la industria, de ejecutables independientes hacia marcos de distribución modulares basados en scripts. Cada etapa parece inofensiva de forma aislada, imitando actividad administrativa legítima. El uso de un runtime Python legítimo embebido de python.org elimina dependencias y evade las listas de aplicaciones permitidas.
Payloads distribuidos
| RAT | Capacidades | Archivo cifrado |
|---|---|---|
| XWorm | Acceso remoto completo, keylogging, captura de pantalla, persistencia | new.bin |
| AsyncRAT | Comunicación C2 asíncrona, extensibilidad mediante plugins, robo de credenciales | pul.bin |
| Xeno RAT | RAT de código abierto con HVNC, acceso a micrófono/webcam | xn.bin |
🌐 Cisco SD-WAN y Rockwell ICS: más exploits activos
Cisco Catalyst SD-WAN
Cisco ha confirmado que dos vulnerabilidades de Catalyst SD-WAN recientemente parcheadas — CVE-2026-20128 y CVE-2026-20122 — están siendo activamente explotadas en estado salvaje. Las organizaciones que ejecutan configuraciones SD-WAN afectadas deben aplicar los parches inmediatamente o implementar las soluciones alternativas recomendadas.
Vulnerabilidad Rockwell Automation ICS
Una vulnerabilidad de Rockwell Automation originalmente divulgada y mitigada en 2021 ha sido confirmada como activamente explotada en ataques dirigidos a sistemas de control industrial. Esto pone de relieve un desafío persistente en entornos OT/ICS: incluso cuando existen parches, a menudo no se aplican debido a restricciones operativas y preocupaciones por tiempos de inactividad.
⚠️ Riesgo ICS/OT
Si su organización utiliza controladores lógicos programables (PLC) de Rockwell, verifique el estado de los parches inmediatamente. La explotación remota de sistemas ICS puede provocar manipulación de procesos físicos, evasión de sistemas de seguridad e interrupción operativa.
🔒 Cierre del foro LeakBase — 142.000 usuarios
En un hecho positivo, el foro de cibercrimen LeakBase ha sido cerrado por las fuerzas del orden, con sospechosos detenidos. El mercado de credenciales robadas había estado activo desde 2021 y albergaba 142.000 usuarios registrados que comerciaban con credenciales comprometidas, datos personales y bases de datos de brechas.
Si bien los cierres proporcionan una interrupción temporal, la experiencia demuestra que los usuarios desplazados típicamente migran a foros alternativos en cuestión de semanas. Las organizaciones deberían aprovechar esta ventana para:
- Comprobar si sus credenciales aparecen en bases de datos de brechas conocidas
- Forzar el restablecimiento de contraseñas para cualquier cuenta comprometida
- Habilitar MFA en todos los sistemas críticos
🛡️ Acciones recomendadas
Para equipos de seguridad empresarial
- Priorizar el parcheo de productos empresariales — Los dispositivos VPN, firewalls y productos de seguridad son ahora los principales objetivos de zero-days
- Desplegar escaneo automatizado continuo — Las evaluaciones manuales de vulnerabilidades no pueden seguir el ritmo de más de 90 zero-days anuales
- Monitorizar patrones de ejecución sin archivos — Busque ventanas PowerShell ocultas, descargas de runtime Python y firmas de inyección APC
- Reducir el tiempo de permanencia — Los 317 días de permanencia en la brecha de TriZetto muestran el coste de la detección tardía
- Parchear sistemas ICS/OT — Vulnerabilidades antiguas en Rockwell y sistemas similares están siendo activamente explotadas años después de su divulgación
Para organizaciones sanitarias
- Auditar la seguridad de portales web — La brecha de TriZetto se originó a través de un portal web que gestionaba datos de elegibilidad de seguros
- Implementar segmentación de red — Limitar el radio de impacto de cualquier compromiso individual
- Desplegar analítica de comportamiento — Detectar patrones de acceso no autorizados, especialmente para bases de datos que contienen información de salud protegida (PHI)
- Revisar la seguridad de proveedores terceros — La postura de seguridad de su proveedor es su postura de seguridad